Erreichen Sie CPCSC-Compliance: Zertifizieren Sie Ihre Lieferkette für die Verteidigung – ohne Komplexität
CPCSC ist Kanadas verpflichtende Cybersecurity-Zertifizierung für Verteidigungslieferanten, die vertrauliche, nicht klassifizierte Regierungsinformationen verarbeiten. Das von Public Services and Procurement Canada verwaltete Programm erfordert eine Zertifizierung auf drei Stufen: Stufe 1 (13 Kontrollen, Selbsteinschätzung, ab Sommer 2026 in ausgewählten Verteidigungsverträgen erforderlich), Stufe 2 (98 Kontrollen, alle drei Jahre unabhängige Drittparteienprüfung plus jährliche Bestätigung) und Stufe 3 (200 Kontrollen, alle drei Jahre Prüfung durch die kanadische Regierung plus jährliche Bestätigung). Die Stufen 2 und 3 befinden sich derzeit in der Entwicklung und werden schrittweise eingeführt. Der zugrunde liegende Standard, ITSP.10.171, ist eine kanadische Anpassung von NIST SP 800-171, entwickelt vom Canadian Centre for Cyber Security. Verteidigungslieferanten, die keine Zertifizierung nachweisen können, sind von der Vergabe ausgeschlossen – keine Zertifizierung, keine Vertragsberechtigung.
Das Private Data Network von Kiteworks unterstützt die CPCSC-Compliance mit vorab zugeordneten ITSP.10.171-Kontrollen, FIPS 140-3-validierter Verschlüsselung, Audit-Logging ohne Drosselung sowie kanadischen Bereitstellungsoptionen, die sicherstellen, dass die festgelegten Informationen niemals die kanadische Gerichtsbarkeit verlassen. Kiteworks erfüllt 80 % der ITSP.10.171-Stufe-2-Kontrollen – 79 von 98. Die verbleibenden 19 betreffen organisatorische, physische oder prozessbasierte Anforderungen.
Ein komprimierter Zeitrahmen, komplexe Kontrollen und eine Souveränitätsherausforderung wie bei keinem anderen Rahmenwerk
Kanadische Verteidigungslieferanten stehen vor 98 Kontrollen in 17 Anforderungsfamilien, einer Souveränitätsdimension, die das entsprechende US-Programm nicht verlangt, und einem bereits laufenden Zertifizierungszeitplan. Nur 46% der Auftragnehmer im parallelen US-CMMC-Programm halten sich für bereit für die Level-2-Zertifizierung, und 62% verfügen nicht über ausreichende Governance-Kontrollen.
Erfüllen Sie 98 Sicherheitskontrollen in 17 Anforderungsfamilien
CPCSC Level 2 verlangt alle drei Jahre eine unabhängige Drittanbieter-Prüfung für 98 Kontrollen, die Zugangskontrolle, Prüfprotokolle und Verantwortlichkeit, Identifikation und Authentifizierung, System- und Kommunikationsschutz sowie 13 weitere Familien abdecken. Jede Kontrolle beinhaltet unternehmensspezifische Parameter, die spezifiziert und dokumentiert werden müssen. Verteidigungslieferanten müssen nachweisen, dass die Kontrollen in jedem Kanal, über den die spezifizierten Informationen laufen—E-Mails, Filesharing, SFTP, Managed File Transfer und Web-Formulare—wirksam funktionieren. Fragmentierte Tools führen zu fragmentierten Nachweisen und erhöhen den Prüfungsaufwand erheblich.
Schützen Sie spezifizierte Informationen unter kanadischer Gerichtsbarkeit
ITSP.10.171 schützt „spezifizierte Informationen“—alle Daten, die eine kanadische Regierungsbehörde als schützenswert einstuft. Diese Daten müssen unter kanadischer Gerichtsbarkeit verbleiben. Dennoch nennen 40% der kanadischen Unternehmen Änderungen beim Datenaustausch zwischen Kanada und den USA als ihre größte regulatorische Sorge, und 21% sehen im CLOUD Act eine direkte Bedrohung der Souveränität. Verteidigungslieferanten, die US-basierte Multi-Tenant-Cloud-Dienste nutzen, stehen vor einer architektonischen Souveränitätslücke, die vertraglich nicht geschlossen werden kann.
Liefern Sie auditfähige Nachweise für akkreditierte Zertifizierungsstellen
CPCSC-Level-2-Prüfer verlangen dokumentierte Nachweise für die Umsetzung der Kontrollen—keine Richtlinien, sondern operative Belege. Unternehmen müssen vollständige Audit-Trails liefern, die Durchsetzung der Zugangskontrolle nachweisen und kontinuierliches Monitoring belegen. Die manuelle Sammlung von Nachweisen aus fragmentierten Systemen dauert Monate. Nicht bestandene Prüfungen verzögern die Zertifizierung, gefährden Verträge und führen zu erneuten Prüfzyklen.
Wie Kiteworks kanadische Verteidigungszulieferer bei der CPCSC-Zertifizierung unterstützt
Vereinheitlichen Sie den sicheren Datenaustausch unter einer zentralen Richtlinien-Engine
Kiteworks konsolidiert sichere E-Mails, Filesharing, Managed File Transfer, SFTP, Web-Formulare, APIs und KI-Integrationen unter einer einheitlichen Governance-Architektur. Die Data Policy Engine setzt rollen- und attributbasierte Zugriffskontrollen kanalübergreifend konsequent durch. Acht vordefinierte Administratorrollen gewährleisten die Trennung von Aufgaben mit minimalen Zugriffsrechten. Die Integration mit LDAP, Active Directory, SAML 2.0 und Kerberos ermöglicht zentrales Identitätsmanagement mit automatischer Bereitstellung. Multi-Faktor-Authentifizierung unterstützt RADIUS, PIV/CAC, zeitbasierte OTPs und Enterprise-Authentifikatoren.
Setzen Sie kanadische Datensouveränität architekturbasiert durch
Kiteworks bietet On-Premises-, Private-Cloud-Deployments in kanadischen Rechenzentren oder hybride Bereitstellung—kombiniert mit Single-Tenant-Isolierung, die Multi-Tenant-Risiken ausschließt. Kundeneigene Verschlüsselungsschlüssel stellen sicher, dass weder Kiteworks noch Dritte ohne Autorisierung des Kunden auf bestimmte Informationen zugreifen können. Geofencing durch konfigurierbare IP-Kontrollen setzt Zuständigkeitsgrenzen auf Infrastrukturebene durch. Datensouveränitäts-Kontrollen leiten bestimmte Informationen ausschließlich über zugewiesene kanadische Jurisdiktionen, basierend auf LDAP- oder SAML-Attributen.
Generieren Sie nachweisbereite Audit-Belege in Stunden statt Monaten
Das umfassende Audit-Log von Kiteworks erfasst jeden Dateizugriff, jede Übertragung und jede Richtlinienentscheidung in Echtzeit ohne Drosselung—keine Lücken, keine Verzögerungen, keine Premium-Lizenz erforderlich. SIEM-Integration über Syslog und nativen Splunk Forwarder liefert kontinuierlich Belege an die Security Operations. Vorgefertigte Compliance-Berichte automatisieren die Erstellung frameworkspezifischer Nachweise. Der Zugriff auf Audit-Daten ist auf die Compliance-Administratorrolle beschränkt—selbst Systemadministratoren können Datensätze nicht verändern—und gewährleistet so eine manipulationssichere Integrität, die Prüferanforderungen erfüllt.
Häufig gestellte Fragen
Das Canadian Program for Cyber Security Certification ist Kanadas verpflichtende Cybersecurity-Zertifizierung für Verteidigungslieferanten, die vertrauliche, nicht klassifizierte Regierungsinformationen verarbeiten. Sie gilt für alle Unternehmen, die sich um Verteidigungsaufträge bewerben oder diese ausführen und dabei spezifizierte Informationen handhaben. Ab Sommer 2026 ist Level 1 (Selbsteinschätzung, 13 Kontrollen) für ausgewählte Verteidigungsaufträge erforderlich. Level 2 (dreijährliche Drittanbieterprüfung, 98 Kontrollen) und Level 3 (dreijährliche Prüfung durch die kanadische Regierung, 200 Kontrollen) befinden sich in Entwicklung und werden schrittweise eingeführt. Ohne Zertifizierung besteht keine Vertragsberechtigung.
ITSP.10.171 ist der kanadische Cybersecurity-Standard, der CPCSC zugrunde liegt und vom Canadian Centre for Cyber Security entwickelt wurde. Er ist eine direkte Anpassung von NIST SP 800-171 ohne wesentliche technische Änderungen—nur Modifikationen zur Abbildung der kanadischen regulatorischen Rahmenbedingungen, darunter andere Terminologie („spezifizierte Informationen“ statt „controlled unclassified information“) und andere zuständige Behörden (Richtlinien des Treasury Board Secretariat statt NIST-Direktiven). Unternehmen, die bereits auf eine US-CMMC-Zertifizierung hinarbeiten, finden die Kontrollanforderungen funktional identisch.
Kiteworks unterstützt 80 % der ITSP.10.171 Level-2-Kontrollen—79 von 98—über eine einheitliche Plattform für sicheren Datenaustausch. Zentrale Funktionen sind die Data Policy Engine zur Durchsetzung von RBAC– und ABAC–Zugriffssteuerungen über alle Kanäle, Zero-Throttle-Audit-Logging mit Echtzeit-SIEM-Integration, FIPS 140-3-validierte AES-256–Doppelverschlüsselung mit kundeneigenen Schlüsseln, eine gehärtete virtuelle Appliance mit integriertem Firewall und Intrusion Detection, Multi-Faktor-Authentifizierung sowie kanadische Bereitstellungsoptionen zur Sicherstellung der Datenhoheit.
Ja. Da ITSP.10.171 technisch mit NIST SP 800-171 identisch ist, unterstützt eine einzige Kiteworks-Instanz die Zertifizierung sowohl für CPCSC bei kanadischen Verträgen als auch für CMMC bei US-DoW-Verträgen. Kiteworks ist FedRAMP-autorisiert mit vorab zugeordneten NIST 800-171-Kontrollen und stellt CMMC 2.0 Compliance-Berichte mit einem Controls Addendum für alle 110 Practices bereit. Die gleiche Infrastruktur liefert Nachweise für CPCSC-Zertifizierungsstellen.
Kiteworks bietet Datenhoheit auf Architekturebene durch On-Premises-, kanadisch gehostete Private-Cloud- oder hybride Bereitstellung mit Single-Tenant-Isolierung. Kundeneigene Verschlüsselungsschlüssel sorgen dafür, dass spezifizierte Informationen ausschließlich mit Schlüsseln verschlüsselt werden, die nur der Kunde kontrolliert—Kiteworks kann Kundendaten nicht entschlüsseln. Geofencing beschränkt den Zugriff nach geografischer Lage, und Datenhoheitskontrollen leiten spezifizierte Informationen ausschließlich durch zugewiesene kanadische Jurisdiktionen, basierend auf LDAP- oder SAML-Attributen.